Koti Securitywatch Rsac: Googlen android-tietoturvaguru sanoo voittavansa sodan

Rsac: Googlen android-tietoturvaguru sanoo voittavansa sodan

Video: Responsiivisten display-mainosten aineistot – Parhaat käytännöt (Marraskuu 2024)

Video: Responsiivisten display-mainosten aineistot – Parhaat käytännöt (Marraskuu 2024)
Anonim

RSA-konferenssissa Googlen Android-tietoturvan johtava insinööri Adrian Ludwig esitteli yrityksen filosofiaa heidän mobiiliympäristön turvaamiseksi. Se on tyypillisesti Google-lähestymistapa, joka perustuu tietojen keräämiseen ja rakennuspalveluihin. Mutta samalla se näyttää lentävän perinteisen mobiiliturvallisuuden edessä.

Näkymätön turvallisuus

Useita kertoja keskustelun aikana Ludwig palasi ajatukseen hienovaraisesta turvallisuudesta. "Tehokas ja näkymätön turvallisuus herättää rauhallisuuden", hän sanoi. Tavoitteena oli antaa käyttäjän olla vuorovaikutuksessa puhelimiensa, tablet-laitteidensa tai minkä tahansa muun kanssa, joka käytti Androidia, ilman, että tietoturvaongelmat olisivat tiellä. "Turvallisuuden torjuminen ei tarkoita, ettei sitä ole siellä", sanoi Ludwig. "Se tarkoittaa, että se toimii."

Hänen mukaansa tämä lähestymistapa eroaa selvästi koko turvallisuusalan lähestymistavasta, joka luottaa voimakkaasti "turvallisuusteatteriin". Hänelle tämä tarkoittaa sovelluksia, jotka julistavat äänekkäästi, kuinka paljon he suojelevat sinua. "Suurin osa turvallisuudesta tarkoittaa viime kädessä sitä, että myydään sinulle lisää turvallisuutta", sanoi Ludwig yllättävän rehellisessä lausunnossa turvayhtiöille tarkoitetussa konferenssissa.

Luvat olivat huomattava poikkeus. "Se on yksi paikka, jossa ilmaistaan ​​käyttäjän tietoturva", hän sanoi. Ne määrittelevät, mitä sovellus voi ja ei pääse, ja olemme kannustaneet lukijoita tarkastelemaan niitä huolellisesti tekemään hyviä päätöksiä siitä, mitä he lataavat. Ludwig sanoi, että se ei oikeastaan ​​ollut tarkoitus. "Ajattelimmeko ihmisten aikovan tehdä älykkäitä päätöksiä joka kerta? Muista, että näemme mitä ihmiset etsivät päivittäin", hän lisäsi viekkaasti. Hän jatkoi, että käyttöoikeudet eivät ole niinkään käyttäjille, vaan auttavat kehittäjiä tekemään hyviä päätöksiä "suurimman osan ajasta".

Tämä sopii yhteen toisen Ludwigin yllättävän lausunnon kanssa: että hän ei näe Androidia käyttöjärjestelmänä, vaan pikemminkin kehitysalustana. "[Android] oli joukko sovellusliittymiä, jotka oli tarkoitettu luomaan tehokkaita sovelluksia", hän sanoi. "Toimitamme palveluita sovellusten muodossa."

Mitä Google tarjoaa

Vaikka Ludwig vietti jonkin aikaa keskustellakseen siitä, kuinka Androidin tuet tekivät alustan turvallisuudesta - mukaan lukien kiitos NSA: lle SC Linuxille -, hän kosketti myös näkyvämpiä Google-palveluita. Hän väitti esimerkiksi, että Googlen haittaohjelmien havaitseminen Google Playssa ylittää koko AV-teollisuuden. Vaikka hän myönsi, ettei se ollut erehtymätöntä.

Toisen selvän työkalun, kuten Android Device Manager, lisäksi Ludwig huomautti Googlen Verified Apps -palvelusta, joka tarjoaa jonkin verran suojaa käyttäjille, jotka asentavat sovelluksia Play-kaupan ulkopuolelta. "Sinulla on todennäköisesti se puhelimellasi etkä tiedä sitä, koska niin me rullaamme", sanoi Ludwig.

Siellä on myös Android-turvaverkko, jonka Ludwig sanoi laajentavan reaaliaikaisen suojauksen itse laitteisiin. Tämä etsii mahdollisia väärinkäytöksiä, kuten usein pyydettäessä premium-tekstiviestien lähettämistä - yleinen taktiikka, jota käytetään haitallisten sovellusten ansaitsemiseen.

"Minun pitäisi arvata, että tämä on suurin turvapalvelujen käyttöönotto maailmassa", Ludwig sanoi.

Monimuotoisuus ja avoimuus ovat hyviä

Android tunnetaan avoimena alustana, ja Ludwig sanoi, että tämä lähestymistapa on tarjonnut arvokasta tietoa hyvistä näyttelijöistä, huonoista näyttelijöistä ja normaalista käyttäytymisestä mobiililaitteissa. "Kun maailma muuttuu vuorovaikutteisemmaksi ja lisää tietoa liikkuu edestakaisin, turvallisuus todella paranee." Ludwig uskoo, että tämä eroaa suuresti vakiintuneista turvallisuusstrategioista, jotka hänen mukaansa riippuvat eristyksestä.

Avoimuus on tarkoittanut hajanaista Androidia, mutta Ludwig näytti viittaavan siihen, että tämä monimuotoisuus oli hyvä asia. Android-laitteistojen ja -ohjelmistojen valtava monimuotoisuus tarkoittaa, että kaikkien laitteiden käyttäminen on paljon vaikeampaa. "Yksi kultainen mestari, jolla on virhe, vaikuttaa satoihin miljoonaan käyttäjään", hän sanoi. "Ei ole yhtä ainoaa kultapäällikköä [Androidille], jokainen laite on rakennettu eri lähteestä."

Avoimuus on antanut turvallisuusyrityksille myös paikan Androidilla. "Emme estäneet heitä ajamasta alustallamme", hän sanoi epäilemättä tekevän töitä Applelle. Sen sijaan Ludwig sanoi, että Google tyytyväinen turvallisuusyrityksiin ja Android hyötyi heidän työstään.

Avoimuus helpottaa myös akateemista tutkimusta kasvavalla mobiiliturvallisuuden alalla. "Matkaviestinturvallisuus on Androidin tietoturvan eufemismi", Ludwig sanoi. "Kaikki lehdet koskevat Android-tietoturvaa, koska se on ainoa paikka, jolla tutkijoilla on pääsy mobiililaitteisiin."

Toimiiko se?

Voidakseen osoittaa Googlen turvallisuuslähestymistavan tehokkuuden, Ludwig ajoi Masterkey-hyväksikäytön aikajanan, jonka huolelliset SecurityWatch-lukijat muistavat viime kesänä. Hänen mukaansa Google pystyi nopeasti selvittämään, ettei Play-kaupassa ollut tällaista hyväksikäyttöä, kun heille ilmoitettiin, että se oli olemassa. Lisäksi sen jälkeen, kun hyväksikäytön havainneet Bluebox-tutkijat julkaisivat tietonsa, Google seurasi ilmeisesti vain kahdeksan yritystä miljoonaa asennusta kohden.

Ludwigilla oli samanlainen näkemys koko Android-haittaohjelmasta, jonka on yleisesti ilmoitettu olevan nousussa. Hän katsoi tämän lisäävän Android-laitteiden nopeaa leviämistä, ja hänen esittämänsä tiedot osoittivat suhteellisen pienen määrän haittaohjelmia Androidsin valtavassa maailmankaikkeudessa. "Saat uskomattomia otsikoita käytännössä ketään koskematta."

On sanottava, että toistaiseksi Google on tehnyt mahtavaa työtä Android-tietoturvan hallinnassa - etenkin kun otetaan huomioon, kuinka älypuhelimet räjähti kohtauspaikalle ja tulivat hallitsemaan nykyaikaista tietotekniikkaa. On kuitenkin edelleen olemassa vakavia ongelmia, joita on käsiteltävä eteenpäin, kuten vuotavat sovellukset ja henkilötietojen suojaaminen.

Googlen näkökulmasta Androidilla on tasapainoinen turvallisuus armossa. Tämän tasapainon ylläpitäminen luultavasti on miten Android arvioidaan sen kypsyessä.

Rsac: Googlen android-tietoturvaguru sanoo voittavansa sodan